Exemple de paramétrage de règle. CA Technologies 12.9

Règles d'autorisation de la passerelle ENC

Exemple de paramétrage de règle

Cet exemple utilise la définition du fichier de l'utilitaire de ligne de commande, à partir de encUtilCmd, pour décrire les règles d'autorisation, procédé analogue à l'explorateur

DSM ; les paramètres de règle sont très similaires.

Il est possible de générer un paramètre simple de règles, similaires à celles décrites cidessous, à l'aide de l'utilitaire encUtilCmd et sa commande "create". Cela vous permet

également de générer un script de test tout en pratiquant les règles.

Les domaines suivants sont utilisés dans cet exemple :

[infrastructure]

Ce domaine est celui utilisé pour contenir tous les noeuds de l'infrastructure

(gestionnaires, serveurs, routeurs, etc.). L'infrastructure ENC est gérée par Forward,

Inc. Dans cet exemple, le nom de domaine apparaît entre crochets afin de le faire ressortir, mais cela n'est pas une obligation ; tous les noms de domaines sont

égaux. Tous les ordinateurs de l'infrastructure possèdent des noms de certificat avec un nom distingué relatif (RDN) de DC=forwardinc,DC=com.

[dsm]

Voici un exemple de domaine regroupant tous les ordinateurs qui constituent l'infrastructure DSM. Nous effectuons une distinction contextuelle entre l'infrastructure ENC et l'infrastructure DSM afin de faciliter la distinction des différents domaines. Tous les ordinateurs DSM possèdent des noms de certificats avec un RDN de DC=forward-dsm,DC=com.

east

Voici un exemple de domaine regroupant tous les ordinateurs de l'entreprise

"east". Tous les ordinateurs est possèdent des certificats avec un RDN de

DC=east,DC=com.

west

Voici un autre exemple de domaine regroupant tous les ordinateurs de l'entreprise

"west". Tous les ordinateurs ouest possèdent des certificats avec un RDN de

DC=west,DC=com.

Dans cet exemple, les noeuds ENC, au minimum des noeuds d'agent DSM, sont traités comme des unités autonomes séparées des noeuds DSM. Dans l'environnement ENC

DSM, les noeuds du domaine DSM doivent généralement pouvoir voir et se connecter à tous les noms des domaines individuels, et les agents du domaine doivent pouvoir se connecter aux noeuds dans le domaine DSM, mais les membres d'un domaine géré ne peuvent pas voir ni se connecter aux membres d'un autre domaine géré.

Vous devez à présent commencer à définir les règles d'autorisation visant à autoriser l'infrastructure à communiquer et les ordinateurs du domaines à se connecter et à utiliser le réseau virtuel. En premier lieu, vous devez déclarer les domaines pour les autoriser à être utilisés comme références croisées.

482 Manuel d'implémentation

Règles d'autorisation de la passerelle ENC

Voici un extrait du fichier des règles d'autorisation : la section domaine Elle définit les quatre domaines cités ci-dessus. domaine

{Nom "[infrastructure]" Remarques "Domaine de l'infrastructure ENC"}

{Nom "[dsm]" Remarques "Domaine de l'infrastructure DSM"}

{Nom "east" Remarques "Contact de East Inc. est [email protected]"}

{Nom "west" Remarques "Contact West Inc. est [email protected]"} end

La prochaine étape consiste à définir le mappage entre les URI de certificat et les domaines eux-mêmes. Cet exemple utilise la correspondance par caractère générique pour toutes les entrées.

URIMapping

{URI ".*,DC=forwardinc,DC=com" Enabled "1" Type "Pattern" Realm

"[infrastructure]"}

{URI ".*,DC=forward-dsm,DC=com" Enabled "1" Type "Pattern" Realm "[dsm]"}

{URI ".*,DC=east,DC=com" Enabled "1" Type "Pattern" Realm "east"}

{URI ".*,DC=west,DC=com" Enabled "1" Type "Pattern" Realm "west"} end

Vous allez ensuite traiter la liste blanche d'adresses IP. Dans cet exemple, vous autorisez deux sous-réseaux IPv4 publiques à accéder à l'infrastructure ENC.

IPAddWhiteList

{IPAddress "130\.119\..+" enabled "1" Type "Pattern"}

{IPAddress "141\.202\..+" enabled "1" Type "Pattern"}

{IPAddress "131\.119\..+" enabled "1" Type "Pattern"} end

Le dernier élément à créer avant de passer aux entrées de contrôle d'accès individuelles est une période active. Pour cet exemple, la période est active pour tous les jours de la semaine et couvre les vingt-quatre heures de chaque jour.

TimeRange

{Name "all-days" enabled "1" Hours "00:00 - 00:00" Type "normal" Weekdays "sunday

- saturday"} end

Vous disposez à présent de tous les éléments de base nécessaires pour traiter les règles d'accès ; vous pouvez vous concentrer sur les entrées de contrôle d'accès elles-mêmes.

Dans cet exemple, vous utiliserez principalement les entrées de contrôle d'accès individuelles pour des questions de clarté. Dans les situations réelles, il peut s'avérer plus facile et plus efficace de combiner plusieurs règles en une seule.

Chapitre 12: Connectivité du réseau étendu (ENC) 483

Règles d'autorisation de la passerelle ENC

Voici une entrée de contrôle d'accès unique donnée à titre d'exemple uniquement.

Toutes les règles traitées doivent être définies de la manière suivante, entre les balises

TimeACL et end, ou créées dans l'IU de configuration.

Cette règle, appelée AC-[infrastructure]-[infrastructure], définit une entrée qui autorise tous les membres du domaine de l'infrastructure à accéder et à s'authentifier à d'autres membres du domaine de l'infrastructure. Elle fait référence à la période "tous les jours" définie précédemment. Elle sera donc active toute la journée et tous les jours.

TimeACL

{Name "AC-[infrastructure]-[infrastructure]" enabled "1" RuleType "allow"

TimeRange "all-days" SecPrincType "realm" SecPrinc "[infrastructure]" SecObjType

"realm" SecObj "[infrastructure]" Events "AuthenticatedConnection"}

... end

Vous devez ajouter des règles similaires pour les autres domaines, dans ce cas "[dsm]",

"est" et "ouest". Les règles seront identiques à celles citées ci-dessus, mis à part que l'entité de sécurité sera remplacée par celle des autres domaines, comme indiqué cidessous.

{Name "AC-[dsm]-[infrastructure]" enabled "1" RuleType "allow" TimeRange "alldays" SecPrincType "realm" SecPrinc "[dsm]" SecObjType "realm" SecObj

"[infrastructure]" Events "AuthenticatedConnection"}

{Name "AC-east-[infrastructure]" enabled "1" RuleType "allow" TimeRange "alldays" SecPrincType "realm" SecPrinc "east" SecObjType "realm" SecObj

"[infrastructure]" Events "AuthenticatedConnection"}

{Name "AC-west-[infrastructure]" enabled "1" RuleType "allow" TimeRange "alldays" SecPrincType "realm" SecPrinc "west" SecObjType "realm" SecObj

"[infrastructure]" Events "AuthenticatedConnection"}

484 Manuel d'implémentation

Règles d'autorisation de la passerelle ENC

Vous allez à présent définir d'autres entrées de l'infrastructure. Ces entrées sont accompagnées de commentaires expliquant leur objectif. Comme indiqué ci-dessus, ces entrées peuvent être regroupées en une seule avec le champ Evénement défini sur

"ManagerRegisterServer ServerRegisterRouter ManagerRegisterRouter

ManagerRegisterAgent". L'avantage de conserver les règles séparées réside dans le fait que les outils de vérification et la consignation de l'audit dans les sous-systèmes ENC utiliseront le nom de règle unique lorsqu'ils expliqueront pour quelle raison une opération a été autorisée ou refusée.

; Cette entrée autorise tous les noeuds de l'infrastructure à enregistrer un serveur sur un gestionnaire.

{Name "MRS-[infrastructure]-[infrastructure]" enabled "1" RuleType "allow"

TimeRange "all-days" SecPrincType "realm" SecPrinc "[infrastructure]" SecObjType

"realm" SecObj "[infrastructure]" Events "ManagerRegisterServer"}

;

; Cette entrée autorise tous les noeuds de l'infrastructure à enregistrer un routeur sur un serveur.

{Name "SRR-[infrastructure]-[infrastructure]" enabled "1" RuleType "allow"

TimeRange "all-days" SecPrincType "realm" SecPrinc "[infrastructure]" SecObjType

"realm" SecObj "[infrastructure]" Events "ServerRegisterRouter"}

;

; Cette entrée autorise tous les noeuds de l'infrastructure à enregistrer un routeur sur un gestionnaire.

{Name "MRR-[infrastructure]-[infrastructure]" enabled "1" RuleType "allow"

TimeRange "all-days" SecPrincType "realm" SecPrinc "[infrastructure]" SecObjType

"realm" SecObj "[infrastructure]" Events "ManagerRegisterRouter"}

;

; Cette entrée autorise tous les noeuds de l'infrastructure à enregistrer un client sur un gestionnaire.

{Name "MRA-[infrastructure]-[infrastructure]" enabled "1" RuleType "allow"

TimeRange "all-days" SecPrincType "realm" SecPrinc "[infrastructure]" SecObjType

"realm" SecObj "[infrastructure]" Events "ManagerRegisterAgent"}

Vous devez à présent autoriser les domaines DSM et gérés à s'enregistrer avec les noeuds de l'infrastructure. Les entrées suivantes créent cette configuration.

{Name "SRA-[dsm]-[infrastructure]" enabled "1" RuleType "allow" TimeRange "alldays" SecPrincType "realm" SecPrinc "[dsm]" SecObjType "realm" SecObj

"[infrastructure]" Events "ServerRegisterAgent"}

{Name "SRA-east-[infrastructure]" enabled "1" RuleType "allow" TimeRange "alldays" SecPrincType "realm" SecPrinc "east" SecObjType "realm" SecObj

"[infrastructure]" Events "ServerRegisterAgent"}

{Name "SRA-west-[infrastructure]" enabled "1" RuleType "allow" TimeRange "alldays" SecPrincType "realm" SecPrinc "west" SecObjType "realm" SecObj

"[infrastructure]" Events "ServerRegisterAgent"}

Chapitre 12: Connectivité du réseau étendu (ENC) 485

Règles d'autorisation de la passerelle ENC

Les routeurs de passerelle ENC nécessitent également la configuration d'autorisation pour tous les noeuds qui y seront connectés et routés. Les entrées suivantes définissent cette configuration.

; Ces entrées autorisent tous les noeuds DSM à se connecter aux routeurs dans le domaine de l'infrastructure.

{Name "RAC-[dsm]-[infrastructure]" enabled "1" RuleType "allow" TimeRange "alldays" SecPrincType "realm" SecPrinc "[dsm]" SecObjType "realm" SecObj

"[infrastructure]" Events "RouterAgentConnect"}

; Ces entrées autorisent tous les noeuds d'agent du ou des domaines nommés à se connecter aux routeurs dans le domaine de l'infrastructure.

{Name "RAC-east-[infrastructure]" enabled "1" RuleType "allow" TimeRange "alldays" SecPrincType "realm" SecPrinc "east" SecObjType "realm" SecObj

"[infrastructure]" Events "RouterAgentConnect"}

{Name "RAC-west-[infrastructure]" enabled "1" RuleType "allow" TimeRange "alldays" SecPrincType "realm" SecPrinc "west" SecObjType "realm" SecObj

"[infrastructure]" Events "RouterAgentConnect"}

Vous possédez à présent suffisamment de données de configuration pour autoriser tous les noeuds ENC des domaines DSM et gérés à se connecter, s'authentifier et s'enregistrer auprès de tous les noeuds de l'infrastructure ENC. La prochaine étape consiste à autoriser les fonctions de recherche de noms et de connexion d'agent. Les entrées suivantes définissent cette configuration.

Il existe des règles miroirs pour tous les noeuds : les domaines gérés sont autorisés à rechercher les noms de tous les ordinateurs DSM connectés à ENC. Ceux-ci sont à leur tour autorisés à rechercher tous les membres des domaines gérés. Les règles et règles miroirs doivent être explicitement spécifiées, comme indiqué ci-dessous.

486 Manuel d'implémentation

Règles d'autorisation de la passerelle ENC

Notez qu'il n'existe aucune règle autorisant "est" à voir "ouest" ; inversement, il n'existe aucune règle autorisant "ouest" à voir "est", ce qui rend toute recherche entre les domaines impossible. Cette séparation d'espace de noms est essentielle pour sécuriser le fonctionnement du réseau virtuel.

; Ces entrées autorisent tous les noeuds d'agent des domaines nommés à effectuer des recherches de membres ENC dans le domaine DSM.

{Name "NL-east-[dsm]" enabled "1" RuleType "allow" TimeRange "all-days"

SecPrincType "realm" SecPrinc "east" SecObjType "realm" SecObj "[dsm]" Events

"ManagerNameLookup"}

{Name "NL-west-[dsm]" enabled "1" RuleType "allow" TimeRange "all-days"

SecPrincType "realm" SecPrinc "west" SecObjType "realm" SecObj "[dsm]" Events

"ManagerNameLookup"}

; Ces entrées autorisent tous les noeuds DSM à effectuer des recherches des membres ENC dans les domaines nommés.

{Name "NL-[dsm]-east" enabled "1" RuleType "allow" TimeRange "all-days"

SecPrincType "realm" SecPrinc "[dsm]" SecObjType "realm" SecObj "east" Events

"ManagerNameLookup"}

{Name "NL-[dsm]-west" enabled "1" RuleType "allow" TimeRange "all-days"

SecPrincType "realm" SecPrinc "[dsm]" SecObjType "realm" SecObj "west" Events

"ManagerNameLookup"}

Les entrées suivantes autorisent les agents à se connecter vers/à partir des domaines

DSM et gérés. A nouveau, ces entrées auraient pu être combinées au paramètre de règle précédent, mais la séparation permet une consignation plus détaillée et le dépannage des règles.

; Ces entrées autorisent tous les noeuds d'agent des domaines nommés à se connecter aux membres ENC dans le domaine DSM.

{Name "ACN-east-[dsm]" enabled "1" RuleType "allow" TimeRange "all-days"

SecPrincType "realm" SecPrinc "east" SecObjType "realm" SecObj "[dsm]" Events

"AgentConnect"}

{Name "ACN-west-[dsm]" enabled "1" RuleType "allow" TimeRange "all-days"

SecPrincType "realm" SecPrinc "west" SecObjType "realm" SecObj "[dsm]" Events

"AgentConnect"}

; Ces entrées autorisent tous les noeuds DSM à se connecter aux membres ENC dans les domaines nommés.

{Name "ACN-[dsm]-east" enabled "1" RuleType "allow" TimeRange "all-days"

SecPrincType "realm" SecPrinc "[dsm]" SecObjType "realm" SecObj "east" Events

"AgentConnect"}

{Name "ACN-[dsm]-west" enabled "1" RuleType "allow" TimeRange "all-days"

SecPrincType "realm" SecPrinc "[dsm]" SecObjType "realm" SecObj "west" Events

"AgentConnect"}

Ceci conclut l'exemple de paramètre de règle.

Chapitre 12: Connectivité du réseau étendu (ENC) 487